¿Por qué Volt Typhoon no usa malware?

Porque las herramientas nativas de Windows (PowerShell, WMI, netsh, certutil, ntdsutil) hacen todo lo que necesita sin generar alertas de AV/EDR. Cada herramienta que usa es legítima y firmada por Microsoft. La actividad se mezcla con administración normal del sistema. Es la evolución máxima de living-off-the-land.

¿Qué es pre-posicionamiento?

Volt Typhoon no roba datos ni causa daño inmediato. Se infiltra en infraestructura crítica (energía, agua, telecomunicaciones, transporte) y mantiene acceso latente durante años. El objetivo: tener capacidad de causar disrupción masiva en caso de conflicto geopolítico (ej: conflicto por Taiwán).

¿Cómo se detecta un atacante que solo usa herramientas legítimas?

Behavioral analytics: patrones anómalos de uso de herramientas legítimas (admin tools ejecutados fuera de horario, desde hosts no admin, en secuencia de reconocimiento). UEBA para detectar cuentas con comportamiento anómalo. Network segmentation para limitar lateral movement. Es el desafío de detección más difícil en ciberseguridad.

IntermedioVolt TyphoonChinaLOTLinfraestructura críticapre-posicionamiento

Volt Typhoon: China, Living-off-the-Land e Infraestructura Crítica

Perfil de Volt Typhoon (Vanguard Panda/Bronze Silhouette): grupo chino que se infiltra en infraestructura crítica de EEUU sin malware, usando solo herramientas nativas del sistema (living-off-the-land). Pre-posicionamiento para conflicto geopolítico.

MalwareIntel Research·27 de mayo de 2026·6 min lectura

Serie: APTs y Threat Actors — Parte 11

Volt Typhoon se infiltra en infraestructura crítica sin malware, usando solo herramientas nativas del sistema

Volt Typhoon (Vanguard Panda/Bronze Silhouette) representa un cambio de paradigma en operaciones APT. Este grupo chino se infiltra en infraestructura crítica de EEUU (energía, agua, telecomunicaciones, puertos, transporte) y mantiene acceso latente sin instalar malware, sin crear archivos en disco, y sin usar herramientas que generen alertas. Todo lo que usa ya está en el sistema: PowerShell, WMI, cmd, netsh, certutil. Es invisible para AV, EDR y la mayoría de herramientas de detección.

Ficha del grupo

Campo	Detalle
MITRE ID	(en proceso de adición)
Nombres	Vanguard Panda, Bronze Silhouette, Insidious Taurus, DEV-0391
Atribución	PRC (República Popular China), probable PLA o MSS
Motivación	Pre-posicionamiento (preparar capacidad de disrupción)
Activo desde	2021 (detección), posiblemente antes
Nivel	Tier 2: sin malware custom pero OPSEC excepcional
Sectores	Energía, agua, telecomunicaciones, transporte, puertos
Regiones	EEUU (primario), Guam, territorios del Pacífico

Por qué Volt Typhoon es diferente

Aspecto	APT tradicional	Volt Typhoon
Malware	Custom backdoors, RATs	Cero. Solo herramientas nativas
Archivos en disco	Payloads, scripts, DLLs	Ninguno (memory-only o LOLBins)
C2	Servidores C2 dedicados	Routers SOHO comprometidos (proxy)
Objetivo	Robar datos o destruir	Mantener acceso latente (pre-posicionamiento)
Timeline	Semanas-meses	Años (sin acción visible)
Detección AV/EDR	Posible (firma, behavioral)	Casi imposible (todo es legítimo)
Alertas generadas	Algunas	Cero o indistinguibles de admin normal

Técnicas: todo living-off-the-land

Acceso inicial

Vector	Método
Fortinet FortiGuard	Exploit de vulnerabilidades en VPN appliances
SOHO routers	Comprometer routers domésticos para usarlos como proxy
Valid accounts	Credenciales robadas de proveedores de servicios

Post-explotación (solo LOLBins)

Reconocimiento:
  whoami /all
  ipconfig /all
  systeminfo
  net user /domain
  net group "Domain Admins" /domain
  nltest /dclist:
  netstat -ano
  tasklist /v

Credential access:
  ntdsutil → dump NTDS.dit (credenciales del dominio)
  reg save HKLM\SAM → dump SAM local
  comsvcs.dll → MiniDump de LSASS (sin Mimikatz)

Lateral movement:
  wmic /node:"TARGET" process call create "cmd /c ..."
  PowerShell Enter-PSSession -ComputerName TARGET
  net use \\TARGET\C$ /user:DOMAIN\admin

Persistencia:
  netsh portproxy → port forwarding persistente
  Scheduled tasks via schtasks
  Cuentas locales creadas o passwords cambiados

Proxy/tunneling:
  netsh interface portproxy add v4tov4 ...
  Routers SOHO como hop points (KV-botnet)

Ninguno de estos comandos es malicioso por sí solo. Todos son herramientas de administración legítimas de Windows.

KV-botnet: red de routers comprometidos

Volt Typhoon mantiene una red de routers SOHO (Small Office/Home Office) comprometidos que usa como proxies para anonimizar su tráfico:

Volt Typhoon → Router SOHO comprometido (hop 1)
            → Router SOHO comprometido (hop 2)
            → Red de la víctima (infraestructura crítica)

Routers afectados: Netgear, Cisco RV, DrayTek, ASUS (firmware vulnerable)
FBI desmanteló KV-botnet en enero 2024, pero Volt Typhoon reconstruye

Técnicas ATT&CK

Táctica	Técnica	ID	Implementación LOTL
Initial Access	Exploit Public-Facing App	T1190	Fortinet, Zoho ManageEngine
Initial Access	Valid Accounts	T1078	Credenciales de VPN/proveedores
Execution	Windows Management Instrumentation	T1047	wmic para ejecución remota
Execution	PowerShell	T1059.001	Remoting, scripts de recon
Execution	Command Shell	T1059.003	cmd.exe para LOLBin chains
Persistence	Scheduled Task	T1053.005	schtasks para persistencia
Persistence	Account Manipulation	T1098	Crear/modificar cuentas locales
Credential Access	OS Credential Dumping	T1003	ntdsutil, comsvcs.dll, reg save
Discovery	Multiple	T1082,T1087,T1018	whoami, net group, systeminfo
Lateral Movement	Remote Services	T1021	WinRM, WMI, SMB
Defense Evasion	Proxy	T1090	KV-botnet SOHO routers
C2	Proxy: Multi-hop	T1090.003	Cadena de routers comprometidos

Contexto geopolítico: por qué pre-posicionamiento

Escenario: conflicto por Taiwán

China invade/bloquea Taiwán
  → EEUU responde militarmente
  → Volt Typhoon activa accesos latentes en:
    - Red eléctrica (apagones en bases militares)
    - Telecomunicaciones (disruption de comunicaciones)
    - Puertos (impedir despliegue de fuerzas)
    - Sistemas de agua (pánico civil)
  → Objetivo: retrasar respuesta militar US y causar caos doméstico

FBI Director Christopher Wray (2024):
"Volt Typhoon has pre-positioned itself on US critical infrastructure
to potentially cause real-world harm to American citizens"

CISA Director Jen Easterly (2024):
"This is not theoretical. We have found Volt Typhoon access
in water, transportation, energy, and communications sectors"

Detección: el desafío más difícil

Por qué es casi indetectable

No hay malware que firmar: AV/EDR buscan malware, todo lo que usa Volt Typhoon es legítimo
No hay C2 domain/IP que bloquear: usa routers SOHO comprometidos que cambian
No hay archivo en disco que encontrar: opera en memoria o con herramientas del sistema
La actividad parece admin legítimo: whoami, ipconfig, net group son normales

Qué funciona

Método	Cómo ayuda
UEBA (User/Entity Behavioral Analytics)	Detectar cuenta admin que ejecuta recon commands a las 3 AM
Baseline de admin tools	Alertar cuando ntdsutil se ejecuta en un DC que nunca lo usa
Network segmentation	Si un server de agua no debe hablar con Internet, alertar
Command line logging	Sysmon Event 1: registrar TODOS los comandos ejecutados
PowerShell logging	Script Block Logging: ver qué scripts se ejecutan
netsh monitoring	Alertar sobre netsh portproxy en servidores de producción
Account anomalies	Nuevas cuentas locales, password changes inesperados
SOHO router security	Actualizar firmware, cambiar credenciales default

Señales de Volt Typhoon

ALTA CONFIANZA (si se ven juntas):
  - ntdsutil ejecutado en DC fuera de ventana de mantenimiento
  - netsh portproxy configurado en servidor de infraestructura
  - comsvcs.dll usado para dump (sin Mimikatz pero mismo efecto)
  - WMI execution remota en horario no laboral
  - Cuenta local nueva en servidor crítico

MEDIA CONFIANZA (individuales):
  - Admin tools ejecutados desde host no admin
  - PowerShell Remoting a servidores desde workstations
  - Acceso a AD vía LDAP queries masivas

Conclusión

Volt Typhoon representa la amenaza más difícil de detectar en ciberseguridad moderna. Sin malware, sin C2 tradicional, sin archivos en disco: solo herramientas legítimas usadas con paciencia y disciplina. Para organizaciones de infraestructura crítica, la defensa requiere un cambio de paradigma: de buscar malware a detectar comportamiento anómalo de herramientas legítimas. UEBA, command line logging, y segmentación de red son las defensas mínimas.

Fuentes y referencias

CISA/NSA/FBI: "People's Republic of China State-Sponsored Cyber Actor Living off the Land" (2023)
Microsoft: "Volt Typhoon targets US critical infrastructure" (2023)
CrowdStrike: "Vanguard Panda" threat profile
FBI: KV-botnet disruption announcement (2024)
CISA: "Secure by Design: Volt Typhoon Guidance" (2024)